国际期刊投稿平台
登录 | 注册
当前位置: 首页 > 法学前沿 > 生成式AI政府审计的法律风险与透明度规制
法学前沿

法学前沿

Frontiers of Law

  • 主办单位: 
    未來中國國際出版集團有限公司
  • ISSN: 
    3079-7101(P)
  • ISSN: 
    3080-0684(O)
  • 期刊分类: 
    人文社科
  • 出版周期: 
    月刊
  • 投稿量: 
    2
  • 浏览量: 
    901

相关文章

暂无数据

生成式AI政府审计的法律风险与透明度规制

Legal Risks and Transparency Regulations in Generative AI-Based Government Auditing

发布时间:2026-06-15
作者: 王宇航 :南京审计大学法学院 江苏南京; WANG Yuhang :School of Law Nanjing Audit University Nanjing;
摘要: 生成式AI在政府审计报告中的规模化应用,正将技术革新转化为具体的法律困境。现行《审计法》制定于AI普及之前,《生成式人工智能服务管理办法》又主要指向商业服务场景,二者的制度缺口在政府审计这一公权力场景中尤为突出。本文从数据合规、责任归属与算法透明度三个维度展开分析:生成式AI的“贪婪式”数据摄取与《个人信息保护法》“必要性”原则存在结构性张力;“工具属性”定性无法自动消解开发者、审计机关与监管方之间的责任分配难题;“黑箱”特性与正当程序原则之间的深层矛盾,又因审计策略保密性的约束而难以通过完全公开加以化解。在比较欧盟《人工智能法案》与美国分散化规制路径的基础上,本文提出公权力场景特殊性、分层透明度与动态责任分配三项规制原则,主张在《审计法》修订中明确AI工具属性与审计机关最终责任,建立面向不同对象的分层透明度义务体系,并将可解释AI技术要求纳入政府审计AI系统的强制性采购标准,推动“技术透明”与“法律透明”的制度衔接。
Abstract: The widespread application of generative AI in government audit reports is transforming technological innovations into concrete legal challenges. The current Audit Law was enacted before AI became widespread, while the "Measures for the Administration of Generative Artificial Intelligence Services" primarily address commercial service scenarios—leaving significant institutional gaps particularly evident in government audits, a domain involving public authority. This paper analyzes three dimensions: data compliance, liability attribution, and algorithmic transparency. The "greedy" data collection behavior of generative AI creates structural tensions with the "necessity" principle of the Personal Information Protection Law; the "tool attribute" characterization fails to resolve liability distribution issues among developers, audit authorities, and regulators; and the inherent conflict between "black-box" characteristics and due-process principles cannot be fully addressed through complete transparency due to audit strategy confidentiality requirements. By comparing the EU's AI Regulation with the U.S. decentralized regulatory approach, this study proposes three regulatory principles for public authority contexts: layered transparency, dynamic liability allocation, and explicit AI tool attributes. It advocates clarifying AI tool attributes and audit authority responsibilities in the Audit Law revision, establishing a tiered transparency obligation framework for different stakeholders, and incorporating explainable AI requirements into mandatory procurement standards for government audit AI systems to bridge "technical transparency" and "legal transparency".
关键词: 生成式人工智能;政府审计;数据合规;算法透明度;问责制;责任归属
Keywords: generative artificial intelligence; government auditing; data compliance; algorithm transparency; accountability; attribution of responsibility

引言

2023年,某省审计机关在对地方政府专项资金使用情况进行审计时,首次引入生成式AI系统辅助生成审计报告。该系统在分析海量财政数据后输出了若干疑似违规结论,然而被审计单位随即提出异议——其无法理解AI得出该结论的逻辑路径,亦无从针对性地提供反驳材料。审计机关同样无法向外界完整解释算法的推理过程,最终该审计结论的法律效力陷入争议。这一场景并非孤例,它折射出生成式AI进入政府审计场域后所引发的深层法律困境。

生成式AI(Generative Artificial Intelligence)区别于传统分析式人工智能的核心特征在于其“生成性”与“通用性”的双重叠加。它不再仅仅从数据中识别模式、形成预测,而是能够主动生成具有逻辑结构的文本内容,包括分析报告、结论陈述乃至政策建议。正是这一特性,使其在政府审计报告的起草、数据分析和风险识别等环节展现出显著的效率优势。据公开资料,江苏、浙江、广东等省份已陆续在审计机关内部试点AI辅助审计系统,部分试点单位的审计报告初稿生成效率提升幅度超过40%。

然而,效率的跃升并未带来法律框架的同步升级。现行《审计法》于2021年修订,彼时生成式AI尚未在政务领域形成规模化应用,立法者自然未能就此作出针对性安排。《国家审计准则》对审计程序的规定同样以“审计人员”为核心展开,AI作为生成主体的情形完全处于制度空白地带。与此同时,《数据安全法》《个人信息保护法》虽已相继颁布,但二者的适用场景主要面向商业领域,如何嵌入政府审计这一具有强烈公权力色彩的特殊场景,仍缺乏具体操作规范。

从比较法视角观察,欧盟《人工智能法案》(EU AI Act)于2024年正式生效,将政府行政决策辅助系统明确列为“高风险AI系统”,要求其满足严格的透明度、可追溯性与人工监督标准。美国《算法问责法案》虽尚未通过,但其草案已明确要求联邦机构对高影响力自动化决策系统进行影响评估。相比之下,中国目前在政府审计场景中专门适用于生成式AI的规制框架尚属空白,《生成式人工智能服务管理办法》(2023年)主要面向面向公众提供服务的商业平台,并未延伸至政府内部使用场景。

这一制度落差催生了三类具体矛盾:其一,生成式AI处理政府审计数据时,涉及大量个人隐私信息、企业商业秘密乃至国家财政秘密,其数据合规边界模糊,侵权风险与泄密风险并存;其二,AI生成的审计结论一旦出现错误或偏差,开发者、使用机关与监管部门之间的责任归属缺乏清晰的法律依据;其三,算法“黑箱”特性与政府信息公开原则之间存在结构性张力,透明度不足将动摇审计结论的公信力基础。

本文的核心问题意识正源于此:在生成式AI深度嵌入政府审计报告生成流程的现实背景下,既有法律体系能否有效回应由此产生的数据合规风险、责任归属困境与透明度规制需求?若不能,应如何构建与之相适应的法律规制框架?

一、绪论

(一)研究范围的界定

本文所称“生成式AI在政府审计报告中的应用”,特指审计机关在开展国家审计过程中,以生成式AI系统辅助完成数据分析、风险识别或报告文本生成等核心审计职能的行为,不包括仅作为文字润色工具的辅助性使用情形。所称“法律风险”,指在上述应用过程中可能触发法律责任或导致法律效力瑕疵的风险类型。所称“算法透明度规制”,指通过法律手段强制或激励AI系统运营主体就其算法逻辑、决策过程和数据使用情况向特定对象作出可理解解释的制度安排。

(二)研究方法与文献综述

本文综合运用规范分析、比较分析与跨学科交叉研究方法。规范分析层面,系统梳理《审计法》《数据安全法》《个人信息保护法》《民法典》及《生成式人工智能服务管理办法》等规范文本,厘清现行法律体系在智能审计场景中的适用边界与制度缺口。比较分析层面,对照欧盟《人工智能法案》、美国《算法问责法案》草案及新加坡《人工智能治理框架》,提炼域外制度经验对中国立法的参考价值。跨学科层面,引入计算机科学中的可解释AI(XAI)技术概念,探讨技术路径对法律透明度要求的实现可能。

既有文献对本文的研究贡献主要体现在两个方向。孙祁《规范生成式人工智能产品提供者的法律问题研究》(2023)系统论证了生成式AI提供者作为责任主体的正当性,并将数据风险归纳为数据源合规性风险、算法风险与数据泄露风险三类,为本文的风险分类提供了重要参照。王宇航的项目申报书则从审计法与AI治理交叉视角初步提出了“数据算法责任”三维风险模型与算法透明度规制框架的构想,为本文提供了问题意识的直接来源。然而,前者聚焦商业服务场景,对政府行政场景中的特殊性关照不足;后者处于研究设计阶段,论证深度有待展开。本文试图在此基础上,结合政府审计的公权力属性,对上述问题作出更为系统的法律分析。

二、生成式AI介入政府审计的技术逻辑与场景特征

(一)生成式AI的技术运作机制及其审计应用形态

理解生成式AI在政府审计中引发法律问题的前提,是厘清其技术运作机制与传统审计工具的本质差异。传统计算机辅助审计工具(CAAT)的运作遵循“规则输入数据匹配异常标记”的线性逻辑,其判断依据完全来源于预先设定的规则集,输出结果具有高度可追溯性。生成式AI则不同,其核心架构为大型语言模型(LLM),通过对海量语料库的预训练习得语义关联规律,再经指令微调(instruction finetuning)适配特定任务场景,最终依托概率生成机制输出文本。

这一架构在审计场景中带来三点关键差异。第一,输出结果不是确定性计算的产物,而是概率分布下的最优选择,这意味着同一输入在不同运行条件下可能产生不同输出,审计结论的可复现性因此受到挑战。第二,模型的推理路径不透明,中间层的注意力权重分布(attention weights)难以直接映射为人类可理解的逻辑链条,这正是“黑箱”问题的技术根源。第三,模型性能高度依赖训练数据的质量与分布,若训练语料在地区、行业或数据类型上存在不均衡,模型输出将系统性地偏向特定方向,产生算法偏见。

在政府审计的具体应用形态上,可区分为三个层次:辅助数据分析层(AI对财政数据进行初步筛查、异常识别)、辅助结论生成层(AI基于数据分析结果起草审计发现表述)以及辅助报告撰写层(AI整合各项审计发现生成完整报告文本)。法律风险随着AI介入层次的深入而显著增加。在辅助数据分析层,AI的角色接近传统分析工具,人工审核余地较大;在辅助结论生成层与报告撰写层,AI的输出直接影响审计结论的实质内容,责任归属与透明度问题随之凸显。

(二)政府审计场景的公权力属性对法律问题的特殊塑造

政府审计不同于企业内部审计或第三方社会审计,其根本特殊性在于国家审计权的公权力属性。《审计法》第三条明确规定,审计机关依法独立行使审计监督权,审计结论具有直接触发行政处理、移送司法追诉等法律后果的效力。这一属性决定了生成式AI介入政府审计所引发的法律问题,与其介入商业服务场景存在质的差异。

在商业服务场景中,生成式AI输出错误的后果通常表现为用户利益损失,适用侵权责任规则即可提供基本救济。在政府审计场景中,AI输出错误的后果可能是:被审计单位因错误的审计结论被认定存在违规行为,进而遭受行政处罚、声誉损害乃至刑事追诉。这种后果的不可逆性与严重性,要求法律规制的精细化程度远高于商业场景。

与此同时,审计机关的信息处理行为还受到国家秘密法律制度的约束。部分审计内容涉及国家财政秘密,《保守国家秘密法》对相关信息的保密要求与透明度规制的公开要求之间形成结构性张力,这是商业AI服务管理中不存在的特殊矛盾。

三、生成式AI政府审计应用的数据合规风险

(一)敏感数据处理的法律边界

政府审计涉及的数据类型极为复杂,个人隐私数据、企业商业秘密与国家财政数据在审计过程中交织混杂,生成式AI对上述数据的自动化处理面临多重法律约束。

就个人信息处理而言,《个人信息保护法》确立的“知情同意”原则与政府审计的强制性之间存在内在张力。审计机关在开展政府投资项目审计时,往往需要处理涉及个人医疗报销记录、社会保险缴纳信息乃至个人财产申报数据的大量文件。《个保法》第十三条虽规定“履行法定职责或者法定义务所必需”可作为处理个人信息的合法性依据,无需征得当事人同意,但该条款的适用前提是处理行为具有直接的法定职责依据,且处理范围不超出履职所必需的限度。生成式AI的技术特性恰恰与这一“必要性”原则存在天然冲突——为生成高质量输出,大型语言模型倾向于摄取尽可能多的上下文信息,这种“贪婪式”数据摄取模式极易导致处理范围超出审计职责所必需的边界。

就非结构化数据的处理而言,审计实践中大量信息以会议纪要、内部报告、电子邮件等非结构化形式存在。生成式AI对此类数据的挖掘与分析能力是其显著优势所在,但《审计法》第三十四条关于审计取证权限的规定所列举的取证范围,系立法者在传统审计语境下的规定,是否涵盖AI对电子邮件等通讯记录的自动化深度挖掘行为,存在相当的解释空间。若将此类行为解释为超越取证权限,则AI分析所得证据的合法性将受到质疑,进而影响以此为基础的审计结论的效力。

就企业商业秘密保护而言,被审计企业的财务数据、经营策略信息与技术参数本身受《反不正当竞争法》保护。生成式AI在分析企业财务数据时,其模型参数可能在训练或微调过程中“记忆”特定企业的敏感信息,若后续被用于其他场景或存在数据泄露风险,将构成对商业秘密保护的违反。“合理使用”的边界如何在AI处理场景中划定,目前缺乏明确的司法解释或监管指引。

(二)数据跨部门流转的合规困境

政府审计数据常涉及多个政府部门,审计机关在开展专项审计时往往需要调取税务、社保、工商、海关等部门的数据。《数据安全法》第二十一条建立了数据分类分级制度,第36条规定政务数据的跨境提供受到特别限制,但对政府部门之间数据共享的合规路径并无细化规定。生成式AI系统若由第三方技术公司提供,审计数据流入该公司的服务器进行处理,是否构成数据“出境”或“提供给第三方”,目前缺乏权威解释。

更值得关注的是,生成式AI在处理多部门来源的数据时,会在模型内部形成数据关联与融合,产生原始数据中并不存在的衍生信息。这种“数据聚合效应”可能将分散的、单独看来并不敏感的信息组合成具有高度敏感性的综合图景,超越任何单一数据源所授权的处理范围。现行法律对此类衍生信息的归属与保护尚无明确规定。

(三)数据主权与公共利益的平衡

孙祁的研究指出,生成式AI训练数据来源可分为公有领域数据、合法授权数据与未授权数据三类,三类数据的权利属性涉及不同主体间的利益平衡。政府审计数据的特殊性在于,其中相当部分属于政务数据,兼具公共性与保密性的双重属性,既不属于完全开放的公有领域数据,也不同于完全由私主体控制的商业数据。

将政府审计数据用于训练生成式AI模型,从而提升模型在审计场景中的表现,在技术上具有明显收益,但在法律上面临正当性质疑:审计数据的生成是国家行使审计权的产物,其用于商业AI模型训练是否需要经过特别授权,是否涉及国有数据资产的商业化利用问题,目前均无明确法律依据。《关于构建数据基础制度更好发挥数据要素作用的意见》虽确立了数据要素化利用的总体方向,但对政务数据进入AI训练流程的具体规则尚付阙如。

四、生成式AI政府审计应用的责任归属困境

(一)现行法律框架下的责任主体识别

生成式AI辅助生成的审计报告若造成损害,涉及的潜在责任主体至少包括三方:AI系统的开发者/提供者、作为使用主体的审计机关,以及承担监管职责的上级行政机关。现行法律体系缺乏针对此种多方主体参与的智能行政行为的责任分配规则,只能援引一般性规定进行推断,而推断的结果往往存在相互冲突之处。

就AI系统提供者的责任而言,孙祁的研究基于《生成式人工智能服务管理办法》第五条,论证了生成式AI提供者承担“产品生成内容生产者责任”的正当性。然而,该条款的适用场景主要是提供者向社会公众提供服务的情形,政府机关采购AI系统自用的情形是否适用,存在解释争议。从产品责任角度看,若AI系统因存在设计缺陷导致输出错误,《产品质量法》与《民法典》第一千二百零三条的产品责任规则在原则上可以适用,但“设计缺陷”在生成式AI场景中的认定标准——尤其是概率性错误输出是否构成缺陷——目前缺乏司法实践支撑。

就审计机关的责任而言,《国家赔偿法》确立了国家机关及其工作人员在行使职权过程中违法造成损害应承担赔偿责任的基本框架。审计机关采用AI系统辅助生成审计报告,若最终报告存在错误导致被审计单位受到不当处理,审计机关难以以“系AI系统生成”为由免除责任,因为审计结论的最终法律责任始终归属于签发报告的审计机关。但在实践中,审计机关往往也是AI错误输出的受害者,其如何向AI提供者追偿,缺乏清晰的法律路径。

(二)“工具属性”定性与责任真空

王宇航在项目申报书中明确主张将生成式AI界定为“工具”而非独立责任主体,并在此基础上构建“开发者使用者监管方”三方责任动态分配模型。这一定性具有重要的理论意义,它避免了赋予AI以拟制法律人格的理论冒险,同时也为责任归属提供了基本框架。

然而,“工具”定性并不能自动消解责任归属的复杂性。问题的症结在于:与传统工具不同,生成式AI的“使用”行为本身具有高度的不确定性——使用者向AI发出的指令(prompt)措辞的细微差异可能导致截然不同的输出结果,而使用者往往缺乏充分的技术能力预见和控制这种差异。换言之,“使用者”对工具“使用”的控制程度远低于传统工具场景,这使得将所有输出责任归咎于使用者具有明显的不公平性。

另一方面,将过重责任加诸AI提供者,也存在激励扭曲的风险——提供者可能为规避责任而拒绝向政府机关提供高风险应用场景的服务,或通过合同条款将责任全部转移给用户,导致规制目标落空。

合理的责任分配框架应区分以下情形:若损害源于AI系统的系统性缺陷(如训练数据存在偏差导致特定类型输出持续错误),提供者应承担主要责任;若损害源于审计机关的不当使用(如未对AI输出进行必要的人工复核即直接采用),审计机关应承担主要责任;若损害源于双方共同作用,则应根据各方过错程度按比例分担。然而,上述框架在现行法律体系中并无直接依据,需要通过立法或司法解释加以确认。

(三)行政证据规则的适配困境

审计报告的法律效力与其证据基础的合法性密切相关。生成式AI在审计中的应用引发了传统行政证据规则的适配困境,集中体现在以下两点。

第一是AI生成内容的“证据真实性”问题。传统证据规则中的“原件优先”原则(best evidence rule)建立在文件由特定人员制作、内容与制作行为之间存在直接对应关系的假设之上。生成式AI生成的文本不存在传统意义上的“原件”,其内容是概率模型的输出而非特定人员意志的直接表达,套用“原件优先”规则存在明显的逻辑困难。

第二是AI辅助形成的审计证据链的完整性问题。审计准则要求审计证据具有充分性与适当性,证据的获取与使用过程应当可追溯。生成式AI在数据分析过程中形成的“推理路径”往往不具有可记录性——模型的注意力权重在每次推理后即消失,无法事后复现,这意味着以AI分析为基础的审计发现在证据链完整性方面存在先天缺陷。

五、算法透明度的法律规制

(一)透明度规制的现实需求与理论基础

算法透明度问题的提出并非源于技术偏好,而是有其深刻的法律逻辑。政府审计权的正当性基础在于法律授权与程序合法,《宪法》与《审计法》所确立的审计监督制度以“看得见的公正”为隐含要求。当审计结论来源于公众无法理解的算法运算时,这一正当性基础即受到动摇。

从行政法理论看,正当程序原则要求行政行为的作出必须经过可理解、可预期的程序,受影响的相对人有权了解决策依据并提出异议。生成式AI的“黑箱”特性直接冲击这一原则:若被审计单位对AI审计结论提出异议,其异议的有效性取决于能否指出结论的具体错误所在,而这恰恰需要了解算法的推理逻辑——这构成了一个结构性悖论。

从信息公开理论看,《政府信息公开条例》要求政府信息以公开为原则、不公开为例外,政府审计程序的透明度属于这一原则的应有之义。然而,算法逻辑的保密性(防止被审计对象规避检查)与程序公开性之间存在实质性冲突,这一冲突在传统审计中同样存在,但AI的介入使其更加尖锐——传统审计程序的保密性仅涉及具体审计策略,而AI算法的保密性则涉及基本推理逻辑本身。

(二)现行法律框架下的透明度规制资源

中国现行法律体系中,与AI透明度相关的规范资源主要体现在以下几个层面。

《生成式人工智能服务管理办法》第七条要求服务提供者“采取有效措施防范用户过度依赖或沉迷”,第12条要求提供者“建立健全用户投诉、举报机制”,但对算法决策的可解释性要求着墨甚少,且如前所述,该办法的适用范围存在是否覆盖政府内部使用的争议。

《互联网信息服务算法推荐管理规定》第十六条要求“算法推荐服务提供者应当向用户提供不针对其个人特征的选项”,第25条要求相关服务提供者向主管部门报备算法信息,但此规定针对面向用户的推荐算法,与审计决策辅助算法的场景差异显著。

《数据安全法》第二十七条的“数据安全审查”制度与《网络安全法》的安全评估要求,从安全而非透明度角度对AI数据处理提供了一定规制,但透明度义务并非其核心目标。

值得关注的是,《个人信息保护法》第二十四条明确规定,个人信息处理者利用个人信息进行自动化决策时,应当保证决策的透明度和结果公平公正,并应当向个人提供不针对其个人特征的选项或者提供便捷的拒绝方式。这是中国法律文本中首次将“自动化决策透明度”确立为法律义务,但其适用范围限于个人信息处理场景,不能直接类推至政府审计的整体算法透明度要求。

综合而言,现行法律框架在AI透明度方面的规范供给是零散的、场景特定的,缺乏针对政府行政决策辅助AI的系统性透明度规制。

(三)算法透明度与国家安全的两难困境

完全透明的算法公开面临现实障碍,而这一障碍在政府审计场景中尤为突出。审计策略的保密性是审计有效性的前提条件——若被审计对象充分了解AI的检查逻辑,将有机会有针对性地规避检查,反腐审计与财政违规稽查的实效将大打折扣。《保守国家秘密法》第九条所列的“国家秘密”范畴包含涉及国家安全和利益的事项,部分审计策略(尤其是涉及国有资产流失追查、专项反腐资金追踪的审计方法)可能落入这一范畴。

然而,完全不透明同样不可接受。透明度缺失的后果不止于公信力危机,还将制造实质性的“监管套利空间”:被审计单位可以利用算法不透明性提出程序性异议,要求审计机关就AI推理过程作出说明,若审计机关无法作出令人信服的解释,相关审计结论将在行政复议或行政诉讼中面临被撤销的风险,行政成本将大幅攀升。

解决这一困境的关键在于区分透明度的层次与对象。在对象层面,可区分“内部透明度”(审计机关内部对算法运作的理解)与“外部透明度”(被审计对象及社会公众对算法运作的了解);在层次层面,可区分“程序透明度”(AI被如何使用的透明度)与“算法透明度”(AI如何运算的透明度)。现实可行的规制路径是强制要求内部透明度与程序透明度,对算法透明度的外部公开则在保密与公开之间设定分级标准。欧盟AI法案中“通知义务”与“文档留存义务”并行的制度设计提供了可参考的路径——要求AI系统提供者向监管机构而非社会公众提交完整算法文档,由监管机构承担保密义务,既保障了监管可及性,又避免了审计策略外泄。

六、域外制度的比较与中国规制路径的构建

(一)欧盟《人工智能法案》的制度逻辑

欧盟《人工智能法案》(EU AI Act)于2024年8月正式生效,是目前全球最为系统的AI综合性立法,其对高风险AI系统的规制逻辑对中国政府审计AI规制具有重要参考价值。

该法案将“用于公共当局的重要基础设施的AI系统”以及“用于法律执行、边境管理和司法行政的AI系统”列为高风险系统,适用严格规制标准。政府审计AI系统虽未被明确列举,但从功能角度看,其辅助作出具有法律效果的行政决定,完全符合高风险系统的实质标准。法案对高风险系统的要求包括:建立风险管理系统(第9条)、保证数据治理质量(第10条)、保存技术文档(第11条)、保留日志(第12条)、保证透明度与可解释性(第13条)以及保证人工监督(第14条)。

尤为值得关注的是该法案第13条对“透明度和提供信息”的规定:高风险AI系统应设计并开发为足够透明的方式,使用者能够正确解释其输出并适当使用。这一要求并非要求AI向公众解释其算法,而是要求AI系统向其使用者(即政府机关操作人员)提供足够的可解释性支持。这种“使用者导向的透明度”区别于面向公众的完全算法公开,在保护技术秘密的同时保障了使用者的知情权,值得中国立法借鉴。

(二)美国的分散化规制路径及其局限

美国对政府AI应用的规制呈现明显的分散化特征,缺乏统一的AI法,依赖行政机构规则、议会立法与司法判决的综合作用。拜登政府2023年发布的行政令《关于人工智能的安全、可靠和可信赖发展和使用》要求联邦机构对高影响力AI使用进行风险评估和影响报告,但执行力度依赖各机构自觉。《算法问责法案》草案要求公司和联邦机构对“高影响力自动化决策系统”进行影响评估,但该法案至今未能在国会通过。

美国路径的局限在于:行政令的法律效力较弱,缺乏强制执行机制;各机构的自我规制标准不统一,难以形成系统性的透明度保障;司法审查路径在AI行政决策场景中的有效性有限,因为法院往往缺乏审查复杂算法输出的技术能力。这些局限为中国以立法方式确立统一规制标准提供了反面参照。

(三)中国规制路径的构建原则与制度设计

基于上述分析,中国针对政府审计AI的规制路径应遵循以下三项基本原则。

第一,公权力使用场景的特殊性原则。政府审计AI的规制不能简单套用面向商业服务的《生成式人工智能服务管理办法》,而应在《审计法》修订或专项法规制定中,针对公权力行使场景下AI应用的特殊风险类型作出专门安排。具体而言,应明确生成式AI在审计中的法律地位——确认其“工具属性”,同时规定审计机关对AI辅助生成的结论负有不可免除的最终责任。

第二,分层透明度原则。算法透明度的义务应区分指向对象:对监管机构的完全透明(要求AI提供者向审计监管部门提交完整技术文档并由后者承担保密义务)、对审计机关使用人员的操作透明(要求AI系统向使用者提供可理解的输出解释)、对被审计对象的程序透明(要求审计机关在作出基于AI辅助结论的审计决定时,向相对人说明AI被使用的事实及其在决策中的作用),以及对社会公众的信息透明(定期公布AI在政府审计中的使用概况,不涉及具体算法细节)。

第三,动态责任分配原则。立法应在“开发者使用者监管方”三方之间确立可操作的责任分配规则,以AI输出错误的成因作为责任归属的基本判断标准:系统性缺陷归责于提供者,操作性失误归责于使用者,监管失职归责于主管机关。在责任承担方式上,应允许责任主体之间按过错比例分担,避免单一归责导致的不公平结果。

在制度层面,可参考江苏省“智慧审计”试点的实践经验,推动地方性法规先行探索,形成可复制的制度样本。具体建议包括:在《江苏省数据条例》的现有框架内,新增针对政府审计AI应用的专章规定;制定《政府审计人工智能应用合规指引》,明确数据分级管理规则、算法备案审查程序与“全流程留痕”机制的具体要求;同时推动审计署在国家层面出台《智能审计技术标准》,将可解释AI(XAI)技术要求纳入审计AI系统的采购标准。

在技术层面,LIME(局部可解释模型无关解释)与SHAP(Shapley加性解释)等可解释AI工具已具备将模型决策逻辑转化为人类可读形式的能力,将此类技术要求纳入政府审计AI系统的强制性技术规范,可在一定程度上弥合“黑箱”特性与透明度要求之间的张力,实现“技术透明”与“法律透明”的接轨。

七、结语

生成式AI介入政府审计报告的生成,是技术革新与法律秩序之间张力的典型呈现。本文的分析表明,这一张力并非无法化解,但化解的前提是法律回应的精准性与系统性。

就数据合规而言,现行法律框架的核心缺陷在于规范的场景适配不足——《个人信息保护法》《数据安全法》提供了基本原则,但政府审计这一兼具强制性与公益性的特殊场景需要更为具体的操作规范,尤其是针对非结构化数据挖掘的取证权限边界与数据聚合效应的规制路径。

就责任归属而言,“工具属性”的定性提供了分析起点,但不能作为责任分配的终点。三方动态责任模型的理论价值在于其弹性,但弹性需要通过具体规则加以实现,否则将在司法实践中沦为空洞的理论框架。

就透明度规制而言,分层透明度思路是目前最具现实可行性的路径,它在国家安全与行政效率的约束下为公众知情权和相对人救济权保留了制度空间。欧盟AI法案的“使用者导向透明度”设计提供了值得借鉴的技术路线,中国立法者可在此基础上结合本土的审计治理逻辑作出本土化调适。

需要指出的是,本文所触及的问题还有若干层面尚待深入,尤其是知识产权归属问题(AI辅助生成的审计报告的著作权归属)与行政诉讼中的司法审查标准问题,限于篇幅未能充分展开。但这恰恰说明,生成式AI对政府审计法律制度的冲击是系统性的,需要学界与立法机关的持续关注与协同回应。在数字技术深度介入国家治理的时代背景下,如何保障公权力行使的法治底线,既是一个法学理论命题,也是一个紧迫的制度建设任务。

参考文献:

  1. [1] 孙祁.规范生成式人工智能产品提供者的法律问题研究[J].政治与法律,2023(07):162-176.
  2. [2] 朱琢.人工智能模型栈在国家审计中的应用[J].审计研究,2025(01):51-56.
  3. [3] 刘树.生成式人工智能在金融审计中的应用——以Kimi为例[J].审计研究,2025(01):42-50.
  4. [4] 田挺,梁燕.大语言模型在国家审计中的应用[J].审计研究,2025(01):33-41.
  5. [5] 姚美琴,谢清华.生成式人工智能何以提高审计监督效能:机理与路径[J].财会通讯,2024(23):120-126+137.
  6. [6] 单文涛,王永青.基于生成式人工智能的审计报告自动生成研究[J].财会月刊,2024,45(24):16-21.
  7. [7] 吴勇,李亚妮,裴宝权,等.审计行业数字化转型的思考:基于数字化审计师视角[J].中国注册会计师,2024(11):31-41.
  8. [8] 刘国城,杨丽丽.人工智能时代算法审计的研究态势、运行机制和实践策略[J].兰州学刊,2024(12):77-90.
  9. [9] 陈伟.大模型在智能审计中的应用研究[J].中国注册会计师,2024(05):86-90+5.
  10. [10] 黄小忠,吕全.人工智能审计系统建设思路及实践探索[J].审计研究,2024(06):30-38.
  11. [11] 袁曾.生成式人工智能责任规制的法律问题研究[J].法学杂志,2023,44(04):119-130.
  12. [12] 丁道勤.生成式人工智能训练阶段的数据法律问题及其立法建议[J].行政法学研究,2024(06):16-28.
联系我们
人工客服,稿件咨询
投稿
扫码添加微信
客服
置顶